En 15 ans, le Vulnerability Reward Program de Google a distribué plus de 81 millions de dollars à des chercheurs indépendants. En 2025, le programme a versé 17,1 millions de dollars, soit une hausse de plus de 40% par rapport à 2024.
Le Vulnerability Reward Program (VRP) de Google, lancé en 2010, rémunère des chercheurs extérieurs qui identifient et signalent des failles dans ses produits avant qu'elles ne soient exploitées. En 2025, ces 17,1 millions de dollars ont été partagés entre plus de 700 chercheurs à travers le monde, répartis entre les programmes Android, Chrome, cloud, open source et intelligence artificielle.
Quinze ans de primes et une nouvelle ligne dédiée à l'IA
Depuis sa création, le VRP a distribué 81,6 millions de dollars cumulés. Il faut dire que le programme n'a cessé de s'élargir. Il couvre aujourd'hui Android, Chrome, les services cloud, les logiciels open source et, depuis 2025, l'intelligence artificielle. 17,1 millions de dollars ont été versés l'année dernière et c'est le montant annuel le plus élevé depuis la création du VRP, avec une progression de plus de 40% par rapport à l'exercice précédent. Pour Google, cette hausse est directement liée à la valeur croissante des travaux menés par la communauté externe de chercheurs en sécurité.
L'AI VRP, auparavant rattaché à l'Abuse VRP, a été dissocié pour apporter plus de clarté aux chercheurs avec un périmètre défini, des règles précises et des barèmes de récompenses spécifiques. Un chercheur qui découvre une faille dans un modèle de machine learning ou une fonction de Gemini sait désormais exactement quels scénarios sont éligibles et quel montant il peut obtenir. Le programme Chrome VRP a suivi la même logique en ajoutant des catégories dédiées aux bugs détectés dans les fonctionnalités IA du navigateur.
En parallèle, Google organise aussi des sessions de hacking sur invitation (les bugSWAT). Des chercheurs sélectionnés testent en présentiel des surfaces d'attaque ciblées. Quatre éditions ont eu lieu en 2025 : à Tokyo sur l'IA (70 rapports, 400 000 dollars), à Sunnyvale sur le cloud (130 rapports, 1,6 million de dollars), à Las Vegas (77 rapports, 380 000 dollars) et à Mexico City sur l'IA, Android et le cloud (107 rapports, 566 000 dollars).
Google a également lancé un programme de primes autour d'OSV-SCALIBR, un outil open source qui détecte les vulnérabilités dans les dépendances logicielles. Autrement dit, les chercheurs analysent des failles dans les composants tiers intégrés au sein des applications. Les développeurs qui enrichissent l'outil avec de nouveaux modules perçoivent une récompense. Google explique d'ailleurs que des informations sensibles, qui n'auraient pas dû être accessibles, ont déjà été détectées par ce biais.
Début avril, nous rapportions que la multiplication des rapports produits automatiquement par des outils d'IA commençait à créer des frictions et des changements au sein des programmes de chasse aux bugs. En janvier dernier, les responsables du projet Curl ont abandonné leur programme de bug bounty. Ils se sont retrouvés avec de faux rapports générés par des IA. Selon son développeur principal Daniel Stenberg, moins d'un signalement sur vingt soumis en 2025 s'était avéré réel. De son côté, l'équipe de HackerOne a dû, elle aussi, suspendre temporairement ses soumissions.
